網絡安全靠人民，網絡安全為人民。2017年6月1號實施的《中華人民共和國網絡安全法》是國家安全法律制度體繫中一部重要法律，是網絡安全領域的基本大法。《網絡安全法》完善了國家、網絡運營者、公民個人等角色的網絡安全義務和責任，將原來散見於各種法規、規章中的網絡安全規定上升到人大法律層面，並對網絡運營者等主體的法律義務和責任做了全面規定。《網絡安全法》規定，我國實行網絡安全等級保護制度。網絡安全等級保護制度是國家信息安全保障工作的基本制度、基本國策和基本方法，是促進信息化健康發展，維護國家安全、社會秩序和公共利益的根本保障。國家法規和繫列政策文件明確規定，實現並完善網絡安全等級保護制度，是統籌網絡安全和信息化發展，完善國家網絡安全保障體繫，強化關鍵信息基礎設施、重要信息繫統和數據資源保護，提高網絡綜合治理能力，保障國家信息安全的重要手段。網絡安全等級保護包括繫統定級、繫統備案、建設整改、等級測評和監督檢查5個常規動作，貫穿信息繫統的全階段、全流程，是當今發達國家保護關鍵信息基礎設施、保障網絡安全的通行做法。對信息繫統分級實施保護，在網絡安全等級保護基礎上，重點保護關鍵信息基礎設施，能夠有效地提高我國網絡安全建設的整體水平，有利於在信息化建設過程中同步建設網絡安全，保障網絡安全與信息化建設相協調；有利於為信息繫統網絡安全建設和管理提供繫統性、針對性、可行性的指導和服務，有效控制網絡安全建設成本；有利於優化網絡安全資源的配置。為了便於國家關鍵信息基礎設施主管部門、運營部門、建設部門學習網絡安全法、網絡安全等級保護繫列政策和法規內容，便於各級黨委政府、企事業單位開展網絡安全風險評估、網絡安全監測和通報預警、網絡安全事件處置、網絡安全保障工作全國綜治考核評價工作，便於網信部門、網絡安全保衛部門開展監督檢查工作，在河南省公安廳網絡安全保衛總隊的指導下，河南省信息安全等級保護工作協調小組辦公室組織編寫該書。

夏冰，中原工學院計算機學院，副教授，河南省優秀指導教師，公安部等級保護測評高級測評師，信息繫統高級規劃師。

目 錄
第1章 國家網絡空間安全戰略 1
1．1 網絡空間的新作用和新機遇 1
1．2 網絡空間安全面臨嚴峻的新挑戰 3
1．3 戰略目標與原則 4
1．3．1 五大目標 4
1．3．2 四項原則 5
1．4 九項戰略任務 6
1．5 戰略意義影響深遠 9
1．5．1 中國領導的中國自信 9
1．5．2 國家網絡強國的戰略基石 10
1．5．3 國家網絡治理的解決之道 10
1．5．4 網絡空間安全的戰略支撐點 10
1．5．5 網絡空間安全的中國特色 11
第2章 網絡安全法 13
2．1 立法背景與意義 13
2．2 基本內容 14
2．2．1 相關概念 14
2．2．2 法律框架 15
2．3 法律特色 18
2．3．1 網絡安全基本大法 18
2．3．2 三項基本原則 19
2．3．3 六大顯著特征 19
2．3．4 九類網絡安全保障制度 20
2．3．5 懲罰措施 23
2．3．6 全社會參與者 24
2．4 十大熱點話題 25
第3章 從不同角度看《網絡安全法》 29
3．1 國家角度 29
3．2 國家網信部門角度 32
3．3 國家公安部門角度 34
3．4 網絡用戶角度 36
3．5 網絡運營者角度 37
3．5．1 承擔社會責任 38
3．5．2 網絡安全的責任主體 38
3．5．3 做好網絡安全運行工作 38
3．5．4 做好個人信息保護 39
3．5．5 違法信息傳播的阻斷 40
3．5．6 網絡經營者可能涉及的具體罪名 40
3．6 網絡產品和安全服務提供者角度 42
3．6．1 服務要符合國標的強制性要求 42
3．6．2 產品銷售許可制度 43
3．6．3 限制發布網絡安全信息 44
3．6．4 禁止網絡犯罪和支持協助犯罪 44
3．6．5 安全服務人員行業準入制度 44
3．7 關鍵信息基礎設施運營者角度 45
3．7．1 關鍵基礎設施的範圍 45
3．7．2 具有中國特色的網絡安全管理機制 46
3．7．3 嚴格的日常安全保護義務 46
3．7．4 特殊的安全保障義務 47
3．7．5 重點行業需要關注的十項重點工作 48
第4章 《網絡安全法》配套法律法規 50
4．1 個人信息和重要數據出境安全評估辦法 50
4．1．1 基本概念 50
4．1．2 立法目的 51
4．1．3 哪些出境數據需要評估 51
4．1．4 哪些數據禁止出境 52
4．1．5 評估頻率和責任主體 52
4．1．6 網絡運營者需要關注什麼 53
4．2 網絡產品和服務安全審查辦法 54
4．2．1 審查對像 54
4．2．2 審查用戶 54
4．2．3 審查內容 55
4．2．4 審查工作流程 55
4．2．5 第三方機構管理 56
4．3 互聯網新聞信息服務管理規定 56
4．3．1 出臺背景 56
4．3．2 作用意義 57
4．3．3 主要內容 58
4．3．4 重點內容 59
4．4 個人信息保護法規 59
4．4．1 網絡安全法 59
4．4．2 兩院關於侵犯公民個人信息入刑的主要內容 61
4．4．3 兩院關於侵犯公民個人信息入刑的規定 64
4．4．4 侵犯公民個人信息犯罪典型案例 66
4．5 關鍵信息基礎設施安全保護條例 66
4．5．1 安全保護意識的三種思維方式 67
4．5．2 關鍵信息基礎設施保護範圍 67
4．5．3 運營者履行的安全保護 68
4．5．4 核心部門的責任 69
4．6 互聯網論壇社區服務管理規定 70
4．6．1 互聯網論壇社區服務管理規定的出臺背景 70
4．6．2 互聯網論壇社區服務提供者要做什麼 70
4．6．3 互聯網論壇社區服務提供者不能做什麼 71
4．6．4 真實身份認證 72
4．7 網絡安全法執法典型案例 72
第5章 網絡安全等級保護2．0時代 77
5．1 等級保護2．0時代 77
5．1．1 網絡安全的現狀 77
5．1．2 如何理解等級保護2．0 79
5．1．3 開展等級保護的重要意義 81
5．2 信息安全和等級保護 82
5．2．1 信息安全保障 82
5．2．2 信息安全模型 82
5．2．3 等級保護 86
5．3 網絡安全等級保護的基本內容 88
5．3．1 角色及其職責 88
5．3．2 工作環節 89
5．3．3 實施過程的基本要求 91
5．3．4 實施等級保護的基本原則 92
5．4 信息安全等級保護的政策依據 93
5．4．1 國家法律和政策依據 93
5．4．2 公安機關開展等級保護工作的依據 94
5．5 信息安全等級保護的標準體繫 96
5．5．1 信息安全等級保護相關標準體繫 99
5．5．2 信息安全等級保護主要標準簡介 103
5．6 信息安全等級保護的發展歷程和工作現狀 106
第6章 等級保護 107
6．1 定級 107
6．1．1 基本工作概述 107
6．1．2 如何理解定級對像 109
6．1．3 如何理解安全保護等級 110
6．1．4 定級工作如何開展 113
6．1．5 等級如何審批和變更 117
6．2 備案 118
6．2．1 備案需要什麼資料 118
6．2．2 備案工作流程 118
6．2．3 如何受理備案 119
6．2．4 公安機關受理備案要求 119
6．2．5 定級不準怎麼辦 120
6．3 建設整改 120
6．3．1 基本工作概述 120
6．3．2 如何整改安全管理制度 124
6．3．3 如何整改安全技術措施 127
6．3．4 如何制定整改方案 131
6．4 等級測評 132
6．4．1 基本工作概述 133
6．4．2 測評工作流程有哪些 134
6．4．3 測評指標知多少 141
6．4．4 測評結果是如何研判的 142
6．4．5 誰來開展等級測評 144
6．4．6 如何規避測評風險 146
6．4．7 讀懂測評報告 148
6．5 網絡安全等級保護 151
6．5．1 體繫架構 151
6．5．2 等級保護指標數量 153
第7章 信息安全管理和風險評估 155
7．1 信息安全管理 155
7．1．1 基本概念 155
7．1．2 基本內容 156
7．1．3 安全管理原則 158
7．1．4 安全管理方法 159
7．1．5 重點單位信息安全管理 159
7．1．6 不履行信息網絡安全管理義務罪 160
7．2 信息安全治理 161
7．2．1 安全治理行動原則和模型 161
7．2．2 安全治理過程 162
7．3 信息安全風險管理 163
7．3．1 風險管理常見名稱 163
7．3．2 安全風險管理過程 164
7．4 信息安全風險評估 166
7．4．1 法規依據 166
7．4．2 信息安全風險評估基本內容 167
7．4．3 風險評估準備階段 169
7．4．4 資產識別階段 169
7．4．5 威脅識別階段 171
7．4．6 脆弱性識別階段 173
7．4．7 風險分析階段 173
7．4．8 風險評估所需資料 174
7．5 信息安全風險處置 176
7．5．1 風險處置流程 176
7．5．2 風險降低 178
7．5．3 風險保留 178
7．5．4 風險規避 179
7．5．5 風險轉移 179
7．5．6 風險接受 179
7．5．7 風險溝通 179
7．5．8 風險監視 180
第8章 網絡安全事件管理和應急響應 181
8．1 法規依據 181
8．1．1 中華人民共和國突發事件應對法 181
8．1．2 中華人民共和國網絡安全法 182
8．1．3 國家突發公共事件總體應急預案 183
8．1．4 突發事件應急預案管理辦法 184
8．1．5 信息安全技術信息安全事件分類分級指南 185
8．1．6 國家網絡安全事件應急預案 185
8．2 網絡安全事件的分類分級管理 186
8．2．1 七類網絡安全事件 186
8．2．2 四級網絡安全事件 186
8．3 組織機構和保障措施 188
8．3．1 多層組織機構 188
8．3．2 十大保障措施 188
8．4 監測和預警 190
8．4．1 預警分級 190
8．4．2 預警監測 190
8．4．3 預警研判和發布 190
8．5 網絡安全事件應急處置 191
8．5．1 發生事件要及時報告 191
8．5．2 四級別應急響應 191
8．5．3 應急結束後的通報制度 192
8．6 如何制定應急響應預案 192
8．6．1 總則 192
8．6．2 角色及職責 193
8．6．3 預防、監測和預警機制 193
8．6．4 應急處置流程 194
8．6．5 保障措施和監督管理 196
8．7 如何做好網絡安全事件應急預案 196
8．7．1 做到六個必須 196
8．7．2 抓好七個關鍵點 198
8．7．3 防止三大問題出現 200
8．7．4 做好網絡安全事件的日常管理工作 200
第9章 網絡安全監測預警和信息通報 202
9．1 法規依據 202
9．1．1 中華人民共和國網絡安全法 202
9．1．2 關於加快推進網絡與信息安全信息通報機制建設的通知 203
9．1．3 十三五國家信息化規劃 204
9．1．4 關於加強網絡安全信息通報預警工作的指導意見 204
9．1．5 關於加強智慧城市網絡安全管理工作的若干意見 204
9．1．6 互聯網網絡安全信息通報實施辦法 205
9．2 信息通報中心 205
9．2．1 信息通報中心組建 205
9．2．2 信息通報中心職責 205
9．2．3 信息通報中心成員與職責 206
9．2．4 建立信息通報日常工作機制 207
9．3 信息通報中心工作規範 208
9．3．1 信息通報中心工作內容 208
9．3．2 信息通報內容和方式 208
9．3．3 網絡安全事件通報處置 209
9．3．4 信息通報機制 209
9．3．5 簽訂網絡安全承諾書 209
第10章 網絡安全保障工作綜治考核 211
10．1 背景和意義 211
10．2 綜治考評法規依據 212
10．2．1 綜治工作（平安建設）考核評價實施細則 212
10．2．2 健全落實社會治安綜合治理領導責任制規定 213
10．2．3 網絡安全保障工作全國綜治考核評價 213
10．2．4 加強社會治安防控體繫建設 214
10．3 網絡安全保障工作考核指標 214
10．3．1 信息安全等級保護工作 214
10．3．2 網絡與信息安全通報預警工作 215
10．3．3 重要信息繫統和政府網站發生的案（事）件情況 215
10．3．4 綜合防控和打擊網絡規範犯罪情況 216
10．3．5 網絡社會治安防控體繫建設 216
10．3．6 信息安全服務管理工作 216
第11章 網絡安全監管 218
11．1 公安機關監督檢查工作的法規依據 218
11．1．1 中華人民共和國計算機信息繫統安全保護條例 218
11．1．2 中華人民共和國警察法 219
11．1．3 關於信息安全等級保護工作的實施意見 219
11．1．4 信息安全等級保護管理辦法 219
11．1．5 公安機關信息安全等級保護檢查工作規範 220
11．1．6 關於開展信息安全等級保護專項監督檢查工作的通知 220
11．2 公安機關的監督檢查工作內容 220
11．2．1 工作目的 220
11．2．2 信息安全等級保護監督檢查內容 220
11．2．3 檢查方式和檢查要求 222
11．2．4 公安機關對不符合監督檢查工作要求的處理 223
11．3 政府和互聯網網站的安全監管工作 224
11．3．1 網站安全管理的重要性和緊迫性 224
11．3．2 網站安全現狀和常見威脅分析 224
11．3．3 政府網站監管工作的法規依據 226
11．3．4 公安機關的網站監管工作內容 229
11．4 新型智慧城市安全監管 233
11．4．1 智慧城市概述 233
11．4．2 新型智慧城市 235
11．4．3 國家政策和標準體繫 238
11．4．4 智慧城市中的新一代信息技術 240
11．4．5 智慧城市中的新技術安全 246
11．4．6 智慧城市安全監管 253
11．4．7 公安機關要做好智慧城市網絡安全監管工作 255
附錄A 中華人民共和國網絡安全法 256
第一章 總則 256
第二章 網絡安全支持與促進 257
第三章 網絡運行安全 258
第四章 網絡信息安全 260
第五章 監測預警與應急處置 261
第六章 法律責任 262
第七章 附則 264
附錄B 互聯網論壇社區服務管理規定 265
附錄C 關鍵信息基礎設施安全保護條例 267
第一章 總則 267
第二章 支持與保障 268
第三章 關鍵信息基礎設施範圍 268
第四章 運營者安全保護 269
第五章 產品和服務安全 270
第六章 監測預警、應急處置和檢測評估 270
第七章 法律責任 271
第八章 附則 272
參考文獻 273

前 言

網絡安全靠人民，網絡安全為人民。2017年6月1號實施的《中華人民共和國網絡安全法》是國家安全法律制度體繫中一部重要法律，是網絡安全領域的基本大法。《網絡安全法》完善了國家、網絡運營者、公民個人等角色的網絡安全義務和責任，將原來散見於各種法規、規章中的網絡安全規定上升到人大法律層面，並對網絡運營者等主體的法律義務和責任做了全面規定。

《網絡安全法》規定，我國實行網絡安全等級保護制度。網絡安全等級保護制度是國家信息安全保障工作的基本制度、基本國策和基本方法，是促進信息化健康發展，維護國家安全、社會秩序和公共利益的根本保障。國家法規和繫列政策文件明確規定，實現並完善網絡安全等級保護制度，是統籌網絡安全和信息化發展，完善國家網絡安全保障體繫，強化關鍵信息基礎設施、重要信息繫統和數據資源保護，提高網絡綜合治理能力，保障國家信息安全的重要手段。

網絡安全等級保護包括繫統定級、繫統備案、建設整改、等級測評和監督檢查5個常規動作，貫穿信息繫統的全階段、全流程，是當今發達國家保護關鍵信息基礎設施、保障網絡安全的通行做法。對信息繫統分級實施保護，在網絡安全等級保護基礎上，重點保護關鍵信息基礎設施，能夠有效地提高我國網絡安全建設的整體水平，有利於在信息化建設過程中同步建設網絡安全，保障網絡安全與信息化建設相協調；有利於為信息繫統網絡安全建設和管理提供繫統性、針對性、可行性的指導和服務，有效控制網絡安全建設成本；有利於優化網絡安全資源的配置。

隨著雲計算、移動互聯、大數據、物聯網、工業控制繫統、人工智能等新技術不斷湧現，傳統信息繫統安全的邊界和防護發生了變化。起到支撐、傳輸作用的基礎信息網絡和各類應用組成的信息繫統本質沒有發生變化，網絡安全等級保護仍然適用。但是，計算機信息繫統的概念已經不能涵蓋全部，特別是互聯網快速發展帶來大數據價值的凸顯，這些都要求等級保護外延的拓展。新的繫統形態、新業態下的應用、新模式背後的服務以及重要數據和資源統統進入了等級保護視野。具體對像則囊括大型互聯網企業、基礎網絡、重要信息繫統、網站、大數據中心、雲計算平臺、物聯網繫統、移動互聯網、工業控制繫統、公眾服務平臺等，網絡安全等級保護進入了2.0時代。在2.0時代下，等級保護的內涵在信息繫統安全等級保護的基礎之上，風險評估、網絡安全事件應急處置、網絡安全監測與通報預警、網絡安全保障工作綜治考核、政府網站監管、新型智慧城市監管等與網絡安全密切相關的措施將被全部納入網絡安全等級保護制度範疇內。

為了便於國家關鍵信息基礎設施主管部門、運營部門、建設部門學習網絡安全法、網絡安全等級保護繫列政策和法規內容，便於各級黨委政府、企事業單位開展網絡安全風險評估、網絡安全監測和通報預警、網絡安全事件處置、網絡安全保障工作全國綜治考核評價工作，便於網信部門、網絡安全保衛部門開展監督檢查工作，在河南省公安廳網絡安全保衛總隊的指導下，河南省信息安全等級保護工作協調小組辦公室組織編寫該書。

本書由中原工學院的夏冰教授統籌協調書稿，做了大量工作，並負責書稿的主體編寫工作。中原工學院鄭秋生教授、河南省委網信辦王沛棟副研究員、河南省網絡安全保衛總隊的劉曉、河南省鼎信信息安全等級測評有限公司的陳宇也參與了本書的編寫並提供建設性建議，在此表示感謝。河南省網絡安全保衛總隊的王志奇調研員對書稿審查投入大量精力，在此表示由衷的感謝。本書的編寫還得到計算機信息繫統安全評估河南省工程實驗室和鄭州市網絡安全創新團隊的項目資金支持，在此表示感謝。

由於水平有限，書中難免有不足之處和錯誤，敬請讀者批評指正。

作 者